External Sharing 101 - Zusammenarbeit mit unternehmensfremden Accounts

Für den Austausch von Dateien setzen wir mit unserem Future Workplace auf SharePoint Online und OneDrive for Business. Der Einsatz bietet sich aber auch in herkömmlichen Umgebungen an. Die Funktion zum Teilen mit externen Benutzern wurde mit dem Übergang von BPOS zu Office 365 in SharePoint Online eingeführt. Microsoft hat nun zum Jahreswechsel eine Änderung im Bereich External Sharing produktiv genommen. Seit Einführung im Jahr 2011 dürfte es die grundlegendste Änderung sein. Für uns ist es Anlass genug, um einen Blick auf die Optionen für die Zusammenarbeit in Office 365 zu werfen.

Für das Teilen mit Externen unterscheiden wir zwei Optionen:

  • Teilen von einzelnen Ordnern oder Dateien (Single-Artifact) - basiert auf SharePoint Online und OneDrive for Business
  • Teilen auf Basis einer Gruppenzugehörigkeit (Guest-Membership) - basiert auf einer Office 365 Group und setzt die Mitgliedschaft in einer Azure AD Gruppe voraus

Links: Teilen einer Datei auf SharePoint, Rechts: Einladen eines Gates in eine Office 365 Group
Links: Teilen einer Datei auf SharePoint, Rechts: Einladen eines Gastes in eine Office 365 Group

Datei- und Ordnerfreigabe aka Single-Artifact Sharing

Der Dialog zum Teilen von Dateien und Ordnern hat sich über die Jahre immer wieder verändert. Seit gut einem Jahr hat Microsoft nun den „Goldenen Weg“ für die Freigabe-Funktion von einzelnen Elementen gefunden. Für das Single-Artifact Sharing kann der Administrator in SharePoint oder OneDrive Admin Center Einschränkungen konfigurieren. In einem Tenant kann so das External Sharing komplett abgeschaltet werden oder stufenweise bis zum Anonymous Sharing alles erlaubt werden. Für jede Site Collection können abweichende, restriktivere Einstellungen getroffen werden. Für alle Freigaben über Anonymous Sharing hinaus benötigt die zugreifende Person ein Login. In der Vergangenheit hat Microsoft hier ein Office 365 Konto (Azure AD) oder ein Microsoft Account (Consumer wie Hotmail oder Xbox) vorausgesetzt. Folgender Dialog hat über Jahre die Benutzer verwirrt und Administratoren graue Haare beschert:

Login mit Organizational Account oder Microsoft Account

Anfang Oktober 2017 hat Microsoft im OneDrive Blog die Ankündigung für das Secure External Sharing Feature konkretisiert. Externe Benutzer benötigen jetzt kein “echtes” Konto für den Zugriff auf die geteilten Dateien mehr. Der Auswahldialog für “Organizational Account” und “Microsoft Account” gehört der Vergangenheit an. Beim Login wird die E-Mail abgefragt, und der Benutzer bekommt einen “Verification Code” (PIN) gesendet. Nach Eingabe des Codes kann er auf die Daten zugreifen.

Login mit Email und PIN

Für alle externen Benutzer ohne eigenen Azure AD Account ist der neue Weg einfacher und weniger Fehler anfällig. Das komplizierte Einrichten eines Microsoft Accounts für bspw. einen Gmail Benutzer entfällt und wird so übersichtlicher, da der Externe keine spezielle Identität für den Zugriff auf SharePoint Online erstellen und sich merken muss. Die Zusammenarbeit mit anderen Office 365 Kunden allerdings wird deutlich geschwächt. Das neue Secure External Sharing prüft nämlich Stand Q1 2018 nicht, ob der eingeladene Benutzer ein Azure AD Account besitzt. In unseren 100% Cloud Projekten ist die Zuverlässigkeit der Identität das Kernelement für moderne Sicherheit. Corporate Managed Devices, MFA, Conditional Access und weitere Security Features aus Office 365 und EMS schützen eine provisionierte Azure AD Identität. Das neue Secure Email Sharing Scenario verlässt sich aber nur auf die Zustellung einer PIN. Dokumente können so zum Beispiel auf beliebigen Clients geöffnet werden, da keine Conditional Access Policies greifen. Die Zugriffe der externen Logins werden aber über die Office 365 Audit log search protokolliert. Der Einsatz des neuen PIN-gesicherten Logins unterstützt aktuell auch nicht das Öffnen von Dokumenten in Office Client Anwendungen. Durch den Einsatz der Office Online Funktionen kann zumindest ein Großteil der Dokumente im Browser auch gemeinsam mit anderen Personen bearbeitet werden.

Ganzheitliches Teilen über Gruppenfreigabe aka Guest-Membership Sharing

Ist die Zusammenarbeit mit einem externen Kontakt ganzheitlicher und intensiver, so bietet es sich an, auf ein gruppenbasiertes Sharing zu setzen. Mit dem Single-Artifact Sharing können einzelne Dateien aus einem sensiblen Datentopf gezielt geteilt werden. Das Guest-Membership Sharing geht hingegen davon aus, dass der Externe genau wie jedes andere Gruppenmitglied alles sehen und schreiben darf. In Office 365 ist das über eine Office 365 Group umgesetzt. Als Schaltzentrale für modernes Teamwork setzt Microsoft auch in der Zusammenarbeit mit unternehmensfremden Identitäten auf genau dieses Konstrukt.

Gäste als Mitglieder in einer Gruppe

Konzeptionell sollte man davon ausgehen, dass alle Inhalte der Gruppe auch für externe Logins zur Verfügung stehen. Die Implementierung Stand Q1 2018 ist allerdings nicht vollständig, so dass Externe eben nicht auf alle Daten zugreifen können. Es ist aber davon auszugehen, dass Microsoft wie im Fall Microsoft Teams nachbessert. Für Microsoft Planner ist ebenfalls bereits ein Zugang für externe Nutzer in Entwicklung. Stand Q1 2018 funktioniert Guest Membership wie folgt:

  • Exchange - Weiterleitung aller Emails vom Gruppenverteiler (Benutzer ohne eigene Mailbox können vergangene Konversationen nicht einsehen, da OWA das nicht unterstützt)
  • SharePoint aka Files - vollwertiges Mitglied mit Lese- und Schreibrechten auf alle Dateien der Gruppe, allerdings können Externe kein Group-Owner werden
  • OneNote - liegt in SharePoint, daher vollumfänglicher Zugriff
  • Planner - kein Zugriff
  • Microsoft Teams - voller Zugriff auf persistenten Chat
  • Microsoft Stream - kein Zugriff

Es gibt noch weitere angeschlossene Dienste (PowerBI, etc.), und die Liste wird weiter wachsen, aber grundsätzlich ist davon auszugehen, dass alle Gruppeninhalte kurzfristig auch für Externe zugänglich sind. Der Unternehmensadministrator kann einschränkend tätig werden. Guest Group Membership kann für alle Office 365 Groups auf Tenant Ebene abgeschaltet werden, auch selektiv für bspw. Gruppen mit hoher Sicherheitsstufe. Für angeschlossene Dienste wie zum Beispiel Microsoft Teams gibt es ebenfalls grobe Stellschrauben. In Teams kann man auf Tenant Ebene die Gastfunktion deaktivieren. Allerdings braucht es einiges an Planung und Schulung, damit die Mitarbeiter des eigenen Unternehmens nicht den Überblick verlieren und Daten ohne zusätzlichen Schutz (vgl. Azure Information Protection) ungewollt preisgegeben werden.

Was ist eigentlich mit Azure AD B2B Collaboration?

Guest-Membership Sharing in Office 365 Groups setzt technisch auf die Funktionen von Azure AD B2B Collaboration auf. Für jeden Gast in einer Office 365 Group gibt es eine eindeutige Referenz im Unternehmens Azure AD des einladenden Tenants. Vor der Einführung des neuen Secure External Sharing (E-Mail + PIN) hat auch das Single-Artifact Sharing in SharePoint selber eine eindeutige Referenz im Unternehmens Azure AD erzeugt, allerdings an den Azure B2B Funktionen vorbei. Die neue Methode des Single Artifact Sharing setzt nicht mehr auf Azure AD oder Microsoft Accounts auf und verzichtet so auf Azure AD Referenzobjekte.

Fazit - Better together!

Single-Artifact Sharing ergänzt Guest-Membership Sharing. Microsoft richtet seinen Kurs auf Office 365 Groups aus, und so muss man sich zwangsläufig mit Gästen in Gruppen beschäftigen. Ist Ihr Unternehmen und, noch wichtiger, sind Ihre Benutzer noch nicht bereit für diesen Ansatz, so kann man jederzeit auf Single-Artifact Sharing zurückgreifen und externe Benutzer mit wenigen Klicks unkomplizierte auf einzelne Dateien in einer Group oder auf dem eigenen OneDrive berechtigen. Durch den gezielten Einsatz von Azure B2B Funktionen können auch kurzfristig Unzulänglichkeiten, wie der fehlende Einsatz von Office Desktop Applikationen, für Gäste umgangen werden. Wir unterstützen unsere Kunden gezielt mit Workshops, um eine maßgeschneiderte Lösung für Unternehmen zu finden und immer aktuell zu bleiben.


Kontaktieren Sie uns.

Für den Austausch von Dateien setzen wir mit unserem Future Workplace auf SharePoint Online und OneDrive for Business. Der Einsatz bietet sich aber auch in herkömmlichen Umgebungen an. Die Funktion zum Teilen mit externen Benutzern wurde mit dem Übergang von BPOS zu Office 365 in SharePoint Online eingeführt. Microsoft hat nun zum Jahreswechsel eine Änderung im Bereich External Sharing produktiv genommen. Seit Einführung im Jahr 2011 dürfte es die grundlegendste Änderung sein. Für uns ist es Anlass genug, um einen Blick auf die Optionen für die Zusammenarbeit in Office 365 zu werfen.

Für das Teilen mit Externen unterscheiden wir zwei Optionen:

  • Teilen von einzelnen Ordnern oder Dateien (Single-Artifact) - basiert auf SharePoint Online und OneDrive for Business
  • Teilen auf Basis einer Gruppenzugehörigkeit (Guest-Membership) - basiert auf einer Office 365 Group und setzt die Mitgliedschaft in einer Azure AD Gruppe voraus

Links: Teilen einer Datei auf SharePoint, Rechts: Einladen eines Gates in eine Office 365 Group
Links: Teilen einer Datei auf SharePoint, Rechts: Einladen eines Gastes in eine Office 365 Group

Datei- und Ordnerfreigabe aka Single-Artifact Sharing

Der Dialog zum Teilen von Dateien und Ordnern hat sich über die Jahre immer wieder verändert. Seit gut einem Jahr hat Microsoft nun den „Goldenen Weg“ für die Freigabe-Funktion von einzelnen Elementen gefunden. Für das Single-Artifact Sharing kann der Administrator in SharePoint oder OneDrive Admin Center Einschränkungen konfigurieren. In einem Tenant kann so das External Sharing komplett abgeschaltet werden oder stufenweise bis zum Anonymous Sharing alles erlaubt werden. Für jede Site Collection können abweichende, restriktivere Einstellungen getroffen werden. Für alle Freigaben über Anonymous Sharing hinaus benötigt die zugreifende Person ein Login. In der Vergangenheit hat Microsoft hier ein Office 365 Konto (Azure AD) oder ein Microsoft Account (Consumer wie Hotmail oder Xbox) vorausgesetzt. Folgender Dialog hat über Jahre die Benutzer verwirrt und Administratoren graue Haare beschert:

Login mit Organizational Account oder Microsoft Account

Anfang Oktober 2017 hat Microsoft im OneDrive Blog die Ankündigung für das Secure External Sharing Feature konkretisiert. Externe Benutzer benötigen jetzt kein “echtes” Konto für den Zugriff auf die geteilten Dateien mehr. Der Auswahldialog für “Organizational Account” und “Microsoft Account” gehört der Vergangenheit an. Beim Login wird die E-Mail abgefragt, und der Benutzer bekommt einen “Verification Code” (PIN) gesendet. Nach Eingabe des Codes kann er auf die Daten zugreifen.

Login mit Email und PIN

Für alle externen Benutzer ohne eigenen Azure AD Account ist der neue Weg einfacher und weniger Fehler anfällig. Das komplizierte Einrichten eines Microsoft Accounts für bspw. einen Gmail Benutzer entfällt und wird so übersichtlicher, da der Externe keine spezielle Identität für den Zugriff auf SharePoint Online erstellen und sich merken muss. Die Zusammenarbeit mit anderen Office 365 Kunden allerdings wird deutlich geschwächt. Das neue Secure External Sharing prüft nämlich Stand Q1 2018 nicht, ob der eingeladene Benutzer ein Azure AD Account besitzt. In unseren 100% Cloud Projekten ist die Zuverlässigkeit der Identität das Kernelement für moderne Sicherheit. Corporate Managed Devices, MFA, Conditional Access und weitere Security Features aus Office 365 und EMS schützen eine provisionierte Azure AD Identität. Das neue Secure Email Sharing Scenario verlässt sich aber nur auf die Zustellung einer PIN. Dokumente können so zum Beispiel auf beliebigen Clients geöffnet werden, da keine Conditional Access Policies greifen. Die Zugriffe der externen Logins werden aber über die Office 365 Audit log search protokolliert. Der Einsatz des neuen PIN-gesicherten Logins unterstützt aktuell auch nicht das Öffnen von Dokumenten in Office Client Anwendungen. Durch den Einsatz der Office Online Funktionen kann zumindest ein Großteil der Dokumente im Browser auch gemeinsam mit anderen Personen bearbeitet werden.

Ganzheitliches Teilen über Gruppenfreigabe aka Guest-Membership Sharing

Ist die Zusammenarbeit mit einem externen Kontakt ganzheitlicher und intensiver, so bietet es sich an, auf ein gruppenbasiertes Sharing zu setzen. Mit dem Single-Artifact Sharing können einzelne Dateien aus einem sensiblen Datentopf gezielt geteilt werden. Das Guest-Membership Sharing geht hingegen davon aus, dass der Externe genau wie jedes andere Gruppenmitglied alles sehen und schreiben darf. In Office 365 ist das über eine Office 365 Group umgesetzt. Als Schaltzentrale für modernes Teamwork setzt Microsoft auch in der Zusammenarbeit mit unternehmensfremden Identitäten auf genau dieses Konstrukt.

Gäste als Mitglieder in einer Gruppe

Konzeptionell sollte man davon ausgehen, dass alle Inhalte der Gruppe auch für externe Logins zur Verfügung stehen. Die Implementierung Stand Q1 2018 ist allerdings nicht vollständig, so dass Externe eben nicht auf alle Daten zugreifen können. Es ist aber davon auszugehen, dass Microsoft wie im Fall Microsoft Teams nachbessert. Für Microsoft Planner ist ebenfalls bereits ein Zugang für externe Nutzer in Entwicklung. Stand Q1 2018 funktioniert Guest Membership wie folgt:

  • Exchange - Weiterleitung aller Emails vom Gruppenverteiler (Benutzer ohne eigene Mailbox können vergangene Konversationen nicht einsehen, da OWA das nicht unterstützt)
  • SharePoint aka Files - vollwertiges Mitglied mit Lese- und Schreibrechten auf alle Dateien der Gruppe, allerdings können Externe kein Group-Owner werden
  • OneNote - liegt in SharePoint, daher vollumfänglicher Zugriff
  • Planner - kein Zugriff
  • Microsoft Teams - voller Zugriff auf persistenten Chat
  • Microsoft Stream - kein Zugriff

Es gibt noch weitere angeschlossene Dienste (PowerBI, etc.), und die Liste wird weiter wachsen, aber grundsätzlich ist davon auszugehen, dass alle Gruppeninhalte kurzfristig auch für Externe zugänglich sind. Der Unternehmensadministrator kann einschränkend tätig werden. Guest Group Membership kann für alle Office 365 Groups auf Tenant Ebene abgeschaltet werden, auch selektiv für bspw. Gruppen mit hoher Sicherheitsstufe. Für angeschlossene Dienste wie zum Beispiel Microsoft Teams gibt es ebenfalls grobe Stellschrauben. In Teams kann man auf Tenant Ebene die Gastfunktion deaktivieren. Allerdings braucht es einiges an Planung und Schulung, damit die Mitarbeiter des eigenen Unternehmens nicht den Überblick verlieren und Daten ohne zusätzlichen Schutz (vgl. Azure Information Protection) ungewollt preisgegeben werden.

Was ist eigentlich mit Azure AD B2B Collaboration?

Guest-Membership Sharing in Office 365 Groups setzt technisch auf die Funktionen von Azure AD B2B Collaboration auf. Für jeden Gast in einer Office 365 Group gibt es eine eindeutige Referenz im Unternehmens Azure AD des einladenden Tenants. Vor der Einführung des neuen Secure External Sharing (E-Mail + PIN) hat auch das Single-Artifact Sharing in SharePoint selber eine eindeutige Referenz im Unternehmens Azure AD erzeugt, allerdings an den Azure B2B Funktionen vorbei. Die neue Methode des Single Artifact Sharing setzt nicht mehr auf Azure AD oder Microsoft Accounts auf und verzichtet so auf Azure AD Referenzobjekte.

Fazit - Better together!

Single-Artifact Sharing ergänzt Guest-Membership Sharing. Microsoft richtet seinen Kurs auf Office 365 Groups aus, und so muss man sich zwangsläufig mit Gästen in Gruppen beschäftigen. Ist Ihr Unternehmen und, noch wichtiger, sind Ihre Benutzer noch nicht bereit für diesen Ansatz, so kann man jederzeit auf Single-Artifact Sharing zurückgreifen und externe Benutzer mit wenigen Klicks unkomplizierte auf einzelne Dateien in einer Group oder auf dem eigenen OneDrive berechtigen. Durch den gezielten Einsatz von Azure B2B Funktionen können auch kurzfristig Unzulänglichkeiten, wie der fehlende Einsatz von Office Desktop Applikationen, für Gäste umgangen werden. Wir unterstützen unsere Kunden gezielt mit Workshops, um eine maßgeschneiderte Lösung für Unternehmen zu finden und immer aktuell zu bleiben.


Kontaktieren Sie uns.

Image Description

Microsoft Kaizala - Willkommen im Team

Microsoft Kaizala wurde einst als MS Garage Project gestartet und war nur für Android verfügbar. Seit Ende 2018 gehört Kaizala zum offiziellen Angebot innerhalb Office 365. Für unsere Kunden im Microsoft 365 Stack bedeutet es also, dass man sich wie üblich (dank Evergreen) mit solchen neuen Services beschäftigen muss. Was ist also Microsoft Kaizala?

Microsoft Kaizala is a simple and secure mobile messaging app for large group communications and work management.
Quelle: https://docs.microsoft.com/en-us/office365/kaizala/kaizala-overview

A simple and secure mobile chat app for work.
Quelle: https://products.office.com/en/business/microsoft-kaizala

Chat! Mobiler Chat? Warum Chat, wenn wir heute schon Microsoft Teams oder Skype for Business im Microsoft 365 Portfolio haben? In Kaizala geht es aber nicht nur um Chat. Aufgaben, Umfragen, Teilen von Daten oder das Übermitteln von Rechnungsbelegen sind Funktionen der mobilen Anwendung. Anders als Microsoft Teams (Plazierung im Microsoft “Inner Loop”) kann man mit Kaizala jede Gruppen- bzw. Organisationsgröße erreichen.

Microsoft Kaizala App Screenshots

Um das Produkt besser zu verstehen, muss man einen Blick in die Vergangenheit werfen. Microsoft Indien hatte Mitte 2017 den Service gelaunched. In der Ankündigung wurde vor allem die Optimierung für die 2G Infrastruktur und der Offline-Support angepriesen. Microsoft Kaizala zielt also auf “task-based workers” (vgl. Firstline Workers) ab. Neben Indien wurde der Service auch in Brasilien und den Philippinen angeboten. Durch die Integration in Office 365 wurde die Bereitstellung vereinfacht und die Sichtbarkeit weiter erhöht. Somit ist Kaizala jetzt auch in weiteren Ländern verfügbar, eine offizielle Verfügbarkeit für Europa und Nordamerika gibt es aktuell noch nicht.

Die technische Integration in Office 365 ist jedoch begrenzt. Unsere Projekte profitieren im Bereich Security von vielen Funktionen des Azure Active Directory. Kaizala geht hier andere Wege. Der Vergleich mit WhatsApp ist besonders hier naheliegend, da beide Angebote die Telefonnummer als primäre Authentifizierung nutzen.

Microsoft Kaizala is a phone-number based, simple, and secure mobile chat app that enables you to connect and coordinate work across your network – your organization, vendors, partners, suppliers, and customers
Quelle: https://products.office.com/en/business/microsoft-kaizala

An dieser Stelle kommt unweigerlich Yammer ins Gedächtnis. Die erste Integration hatte auch ein paralleles Security Model. Erst Jahre später kam eine Anbindung an das Azure AD. Nach der erzwungenen Anmeldung über die Telefonnummer kann eine Office 365 Identität (AAD) hinzugefügt werden. Gruppen, Chats und Daten, die über das AAD Login bereitgestellt werden, sind natürlich administrativ kontrolliert und integrieren sich mit weiteren AAD Sicherheitsfeatures (z.B. MAM bzw. APP). Bei der Nutzung der aktuell im Preview befindlichen Web-Version von Kaizala muss man sich ebenfalls über die Telefonnummer anmelden und einen Code aus der Kaizala App zur Authentifizierung verwenden.

Kaizala kann für spezielle Zielgruppen ein attraktives Angebot darstellen. In unseren 100% Cloud Projekten gehört es (noch) nicht zum Standard Workload von Microsoft 365.

Microsoft stellt auf folgender Website ein Demo der mobilen Anwendung bereit: https://kaizalademo.office.com/.

05.02.2019